Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Base de données de signatures IDP

L’IDP basé sur les signatures surveille les paquets dans le réseau et les compare avec des modèles d’attaque préconfigurés et prédéterminés appelés signatures.

La gestion de la base de données de signatures du système de détection et de prévention des intrusions (IDP) est cruciale pour maintenir une sécurité réseau robuste. En permettant le téléchargement et l’installation de mises à jour régulières, vous vous assurez que votre réseau est protégé contre les dernières menaces. Vous pouvez configurer des objets et des groupes d’attaques personnalisés pour adapter les mesures de sécurité à vos besoins spécifiques, améliorant ainsi la flexibilité et l’efficacité du système. La fonctionnalité IDP de base est activée par défaut sans licence, mais pour recevoir des mises à jour quotidiennes, l’installation d’une clé de licence IDP signature-database-update est nécessaire. Cela garantit une protection continue en maintenant la base de données des attaques à jour avec les vulnérabilités émergentes. Pour plus d’informations sur les licences, reportez-vous à la section Clés de licence des fonctionnalités de Junos OS.

Vous pouvez effectuer les tâches suivantes pour gérer la base de données de signatures IDP :

  1. Mettez à jour la base de données de signatures en téléchargeant les mises à jour de la base de données d’attaques à partir du site Web de Juniper Networks. De nouvelles attaques émergent quotidiennement, alors gardez votre base de données à jour.

  2. Vérifiez la version de la base de données de signatures à l’aide de la CLI, car chaque version a un numéro unique, la dernière étant la plus élevée.

  3. Mettez à jour le moteur de détection de protocoles en même temps que la base de données de signatures. Le détecteur de protocole IDP comprend des décodeurs de protocole de la couche applicative et des mises à jour avec la politique IDP. Elle est nécessaire pour mettre à jour les stratégies, même si elles restent inchangées.

  4. Planifiez des mises à jour automatiques de la base de données de signatures sur l’appareil compatible IDP, à intervalles réguliers.

Avantages de la gestion de la base de données de signatures IDP

  • Assure une protection à jour contre les menaces émergentes en permettant de télécharger régulièrement les dernières mises à jour des signatures.

  • Offre la flexibilité nécessaire pour définir des paramètres de sécurité spécifiques en vous permettant de créer des objets et des groupes d’attaques personnalisés adaptés à chaque environnement réseau.

Package de signatures IDP de Junos OS via un serveur proxy explicite

Juniper Networks met régulièrement à jour la base de données d’attaques prédéfinie et la met à disposition sous forme de package de sécurité sur le site Web Juniper Networks https://signatures.juniper.net/cgi-bin/index.cgi. Cette base de données comprend des objets d’attaque et des groupes d’objets d’attaque que vous pouvez utiliser dans les stratégies d’IDP pour faire correspondre le trafic aux attaques connues.

Vous devez créer un profil de proxy et l’utiliser pour télécharger le package de signatures IDP via un serveur proxy explicite :

  • Configurez un serveur proxy Web sur votre appareil pour gérer les sessions HTTP(S) sortantes et l’authentification. Configurez le profil proxy avec les détails de l’hôte et du port du serveur proxy.

    Vous pouvez configurer plusieurs profils proxy. L’IDP ne peut utiliser qu’un seul profil proxy. Une utilisation simultanée de plusieurs profils proxy sous IDP est prise en charge.

  • Vous pouvez également configurer l’authentification par proxy dans le profil proxy. En définissant un nom d’utilisateur et un mot de passe, vous pouvez garantir un accès sécurisé aux flux et services externes.

    Cette étape garantit une communication HTTPS sécurisée et authentifiée via un proxy afin d’empêcher les sources de données non vérifiées d’interagir avec les environnements réseau protégés.

  • Appliquez le profil proxy. La prise en charge du serveur proxy Web IDP dépend de la configuration du profil proxy au niveau du système.

Lorsqu’un profil de proxy est appliqué sous [security idp security-package] la hiérarchie, le processus idpd se connecte à l’hôte proxy au lieu du serveur de téléchargement du pack de signatures. L’hôte proxy communique ensuite avec le serveur de téléchargement et fournit la réponse au processus idpd. Le processus idpd reçoit une notification chaque fois que des changements se produisent dans la [edit services proxy] hiérarchie.

Une fois l’installation du package de sécurité terminée, tous les objets d’attaque et groupes d’attaques IDP téléchargés et installés peuvent être configurés dans une ou plusieurs stratégies IDP. Ces objets d’attaque et l’objet d’attaque sont ensuite utilisés dans les règles de sécurité de la set security policies from-zone zone-name to-zone zone-name policy policy-name then permit application-services idp-policy idp-policy-name hiérarchie.

Vous créez une stratégie et spécifiez la nouvelle stratégie comme stratégie active. Vous pouvez télécharger uniquement les mises à jour récemment mises en ligne par Juniper Networks, puis mettre à jour la base de données des attaques, la stratégie en cours d’exécution et le détecteur à l’aide de ces mises à jour.

Vous pouvez désactiver le serveur proxy pour le téléchargement de signatures IDP à l’aide de l’icône delete security idp security-package proxy-profile proxy-profile

Exemple : Téléchargez le package de signature IDP de Junos OS via un serveur proxy explicite

Dans cet exemple, le pare-feu SRX Series télécharge et installe le package de sécurité IDP, ainsi que la table complète des objets d’attaque et des groupes d’objets d’attaque disponible sur un serveur externe, à l’aide du profil de proxy configuré.

Vue d’ensemble

Pour télécharger le package de signatures IDP à l’aide d’un serveur proxy, vous devez configurer le profil proxy pour les connexions HTTP.

Le Tableau 1 fournit le détail des paramètres utilisés dans cet exemple.

Tableau 1 : paramètres de configuration du profil de proxy

Paramètre

Nom

Nom du profil

test_idp_proxy1

Adresse IP du serveur proxy

10.255.255.254

Numéro de port du serveur proxy

3128

Exigences

Cet exemple utilise les composants matériels et logiciels suivants :

  • Cet exemple de configuration est testé sur le pare-feu SRX Series avec Junos OS version 18.3R1 ou ultérieure.

Configuration rapide de la CLI

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans la CLI au niveau de la edit hiérarchie, puis entrez en commit mode configuration.

Procédure étape par étape

Pour créer un profil de proxy et télécharger le package de signatures IDP via le serveur proxy :

  1. Spécifiez l’adresse IP de l’hôte proxy.

  2. Spécifiez le numéro de port utilisé par le serveur proxy.

  3. Spécifiez le profil de proxy qui doit être référencé pour le téléchargement du package de sécurité.

  4. Validez la configuration.

  5. Passez en mode opérationnel.

  6. Téléchargez le package de sécurité de l’IDP.

    Il est toujours possible de télécharger et d’installer un package de signatures IDP hors ligne à partir du site Web de Juniper. Pour télécharger et installer le package de signature IDP hors connexion, exécutez la request security idp security-package offline-download commande CLI. Le processus d’installation reste le même pour les deux commandes de téléchargement.

Vérification

Vérifier le téléchargement de la signature IDP via le serveur proxy

Objet

Affichez les détails du téléchargement du package de signatures IDP via un serveur proxy.

Mesures à prendre

En mode opérationnel, entrez la commande pour afficher les détails du proxy spécifique à l’IDP show security idp security-package proxy-profile .

Signification

Dans la sortie, vous pouvez trouver les détails du profil proxy spécifique à l’IDP dans Proxy Profile les champs et Proxy Address .

Vérifier le statut de téléchargement de la signature IDP

Objet

Vérifiez l’état du téléchargement du package de signature IDP.

Mesures à prendre

Vérifiez l’état du téléchargement du package de sécurité.

À partir du mode opérationnel, entrez la request security idp security-package download status commande.

Signification

La sortie affiche l’état de téléchargement du package de signature IDP.

Exemple : Télécharger et installer les packages de sécurité IDP en mode cluster de châssis

Cet exemple montre comment télécharger et installer la base de données de signatures IDP sur un périphérique fonctionnant en mode cluster de châssis.

Exigences

Avant de commencer, définissez l’ID de nœud de cluster du châssis et l’ID de cluster. Voir Exemple : Définition de l’ID de nœud et de l’ID de cluster pour les périphériques de Sécurité dans un cluster de châssis .

Vue d’ensemble

Lorsque vous téléchargez le package de sécurité IDP sur un périphérique fonctionnant en mode cluster de châssis, le package de sécurité est téléchargé sur le nœud principal, puis synchronisé avec le nœud secondaire. Cette synchronisation permet de conserver la même version du package de sécurité sur le nœud principal et le nœud secondaire. Voir Base de données de signatures IDP.

Sur les pare-feu SRX Series, si l’utilisation de la mémoire de votre appareil est élevée sur le plan de contrôle, le chargement d’une stratégie IDP volumineuse peut entraîner un manque de mémoire de l’appareil. Cela peut déclencher un redémarrage du système lors de la mise à jour du package de sécurité IDP.

Procédure

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure à suivre, consultez Utilisation de l’éditeur CLI en mode Configuration dans le Guide de l’utilisateur de la CLI.

  1. Spécifiez l’URL du package de sécurité.

  2. Passez en mode opérationnel.

  3. Téléchargez le package de sécurité IDP sur le nœud principal (téléchargements dans le var/db/idpd/sec-download dossier.

    Le message suivant s’affiche.

  4. Vérifiez l’état du téléchargement du package de sécurité.

    Une fois le téléchargement réussi, le message suivant s’affiche.

  5. Mettez à jour la base de données d’attaques à l’aide de la install commande.

  6. Vérifiez l’état de mise à jour de la base de données d’attaque. La sortie de la commande affiche des informations sur les versions téléchargées et installées de la base de données d’attaque.

    Vous devez télécharger le package de signatures IDP dans le nœud principal. De cette façon, le package de sécurité est synchronisé sur le nœud secondaire.

Version de la base de données de signatures IDP

De nouveaux objets d’attaque sont fréquemment ajoutés au serveur de base de données de signatures ; En téléchargeant ces mises à jour et en les installant régulièrement sur vos équipements gérés, votre réseau est efficacement protégé contre les menaces les plus récentes. Lorsque de nouveaux objets d’attaque sont ajoutés au serveur de base de données de signatures, le numéro de version de la base de données est mis à jour avec le dernier numéro de version de la base de données. Chaque base de données de signatures a un numéro de version différent, la dernière base de données ayant le numéro le plus élevé.

Lors de la mise à jour de la base de données, le client de mise à jour de la base de signatures se connecte au site Web de Juniper Networks et obtient la mise à jour à l’aide d’une connexion HTTPS. La mise à jour calcule la différence entre les bases de données de signatures existantes et les plus récentes à l’aide de leur numéro de version. Après avoir téléchargé les mises à jour, les informations mises à jour sont fusionnées avec la base de données de signatures existante et le numéro de version est défini sur celui de la base de données de signatures la plus récente.

Voir aussi

Vérifiez la version de la base de données de signatures IDP

Objet

Affichez la version de la base de données de signatures.

Mesures à prendre

Dans le mode opérationnel de la CLI, entrez show security idp security-package-version.

Signification

La sortie affiche les numéros de version de la base de données de signatures, du détecteur de protocole et du modèle de stratégie sur l’équipement compatible IDP. Vérifiez les informations suivantes :

  • Attack database version—Le 16 avril 2008, la version de la base de données de signatures active sur le périphérique est 31.

  • Detector version: affiche le numéro de version du détecteur de protocole IDP en cours d’exécution sur le périphérique.

  • Policy template version: affiche la version du modèle de stratégie installée dans le /var/db/scripts/commit répertoire lorsque vous exécutez l’instruction request security idp security-package install policy-templates de configuration dans la CLI.

Pour obtenir une description complète de la sortie, consultez la description show security idp security-package-version .

Voir aussi

Tableau de l’historique des modifications

La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l’explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.

Libération
Descriptif
18.2R1
Vous pouvez télécharger le package de sécurité IDP via un serveur proxy explicite. Pour télécharger le package de sécurité IDP hébergé sur un serveur externe, vous devez configurer un profil proxy et utiliser les détails de l’hôte et du port proxy configurés dans le profil proxy. Cette fonctionnalité vous permet d’utiliser un serveur proxy Web déployé sur votre appareil pour l’accès et l’authentification des sessions HTTP(S) sortantes de votre solution de sécurité globale.